باید به امنیت به چشم اولویت نگاه شود

آی‌تی‌من- با گذشت چند روز از اعلام خبر هک شدن پلتفرم تپسی و به سرقت رفتن اطلاعات کاربران، همچنان بحث پیرامون چرایی این اتفاق و تاثیرات مخربی که در پی خواهد داشت گرم است. تپسی به عنوان دومین تاکسی اینترنتی کشور کاربران بسیار زیادی را در این سال‌ها جذب کرده است و حتی توانسته در بازار بورس حضور پیدا کند. در همین خصوص با بهناز آریا، رئیس کمیسیون افتای سازمان نظام نظام صنفی رایانه‌ای استان تهران گفت‌وگویی انجام شده است.
 
با توجه به حمله سایبری به شرکت تپسی و به خطر افتادن اطلاعات میلیون‌ها کاربر، به نظر شما آموزش صاحبان مشاغل کوچک و همچنین شرکت‌های بزرگ در زمینه آگاه‌سازی آن‌ها از حملات سایبری تا چه حد می‌تواند جلوی این موضوع و هک اطلاعات آنها را بگیرد؟

اتفاقی که برای شرکت تپسی و برخی دیگر از سازمان‌ها و مجموعه‌های نیز رخ داده است منحصر به ایران نیست. اولین بار نیست که اتفاقات این‌چنینی رخ‌ می‌‌دهد و چالش بزرگی است که تمام دنیا با آن درگیر هستند. طبق آخرین گزارش‌هایی که وجود دارد از فوریه سال 2022 میزان حملات سایبری در جهان 8 هزار درصد افزایش پیدا کرده است. این درحالی است که در میانه عصر دیجیتال هستیم و تقریبا همه چیز در آینده نزدیک بهم متصل خواهد بود. با توجه به این مساله همه چیز قابلیت هک خواهد داشت. در حال حاضر مهم‌ترین دارایی، دارایی اطلاعاتی است و صاحبان آنها باید از این دارایی‌ها محافظت کنند. در واقع هم سازمان‌ها و کسب‌وکارها و هم خود افراد باید از این دارایی‌ها مراقبت کنند و مسوول هستند.

در موضوع امنیت مبحث بسیار مهم آگاهی‌رسانی را داریم. اهمیت این مساله به این خاطر است که انسان‌ها ضعیف‌ترین حلقه‌ها در زنجیره امنیت هستند. باید تلاش شود تا با آگاهی‌رسانی دانش افراد در این زمینه افزایش پیدا کند. در این مسیر باید دانش عمومی‌جامعه را افزایش دهیم و توجه افراد را به این حوزه جلب کنیم. وقتی شرکت‌هایی مثل تپسی که ارائه دهنده خدمات عمومی‌هستند از این ناحیه ضربه می‌خورند، کاربران نسبت به حفظ اطلاعات خود احساس خطر می‌کنند. در واقع این احساس خطر فرصتی است تا با آگاهی رسانی به کاربران، دانش‌ آن‌ها را در این زمینه افزایش دهیم.

فرایند آگاهی‌رسانی در این زمینه باید در جامعه از بالا به پایین باشد. حاکمیت نقش بسیار پررنگی در این خصوص دارد و تمام شرکت‌ها و ارگان‌ها نیز باید او را همراهی کنند. در حال حاضر ریسک شماره یک تمامی‌کسب‌وکارها در ایران و جهان امنیت سایبری است و در واقع این موضوع باید بیشترین اولویت را برای آن‌ها داشته باشد.
 
در یک سال گذشته چندین بار خبر حملات سایبری منتشر شده. از سایت شهرداری گرفته تا صدا‌و‌سیما و برخی شرکت‌های خصوصی. نقطه ضعف اصلی و موجود در این میان چیست؟ چه راهکارهایی را برای کم کردن خطر حملات سایبری پیشنهاد می‌کنید؟

متاسفانه در حملات اخیر شاهد تکرار رخدادها از آسیب‌پذیری‌های رخدادهای پیشین هستیم. در حوزه امنیت سایبری امنیت صددرصدی وجود ندارد اما وقتی یک حمله امنیتی رخ می‌دهد، اگر اصلاحات و به‌روزرسانی‌های لازم را انجام ندهیم و دوباره با روش قبلی ضربه بخوریم، یعنی عملکرد مناسبی در حفظ امینت اطلااعات خود نداشته‌ایم. یکی از مواردی که باعث نگرانی بخش خصوصی شده است همین تکرار آسیب‌پذیری با روش‌های قبلی است.

همچنین یکی دیگر از خواسته‌های ما در بخش خصوصی این است که در حدی که مسائل محرمانگی رعایت می‌شود، باید اطلاعات این رخدادها با متخصصان و شرکت‌‎های امنیت سایبری این بخش به اشتراک گذاشته شود. در واقع باید تلاش شود تا بخش خصوصی به عنوان بازوی اجرایی بخش دولتی در این زمینه دیده شود. در گفت‌وگوهایی که تاکنون با بخش دولتی داشته‌ایم سعی شده تا راه‌های این تعامل را افزایش دهیم. در حقیقت بخشی از راهبری حوزه امنیت سایبری به عهده بخش خصوصی است که به آن توجه نشده است و صنعت افتای کشور به درستی شکل نگرفته و به‌اندازه کافی به آن بها داده نشده و در حد نیاز کشور رشد نکرده است.

یکی از چالش‌های جدی دیگر این حوزه ترک فعل مدیران به ویژه در سازمان‌‎هایی دولت دیده نمی‌شود. وقتی یک سازمان دولتی یا زیرساخت عمومی‌ دچار مشکل امنیتی می‌شود هیچکس پاسخگو نیست. تنها کسی که در این زمینه معمولا مقصر شناخته می‌شود بخش خصوصی است. این درحالی است که مقصر اصلی بخشی است که خدمت اصلی را ارائه کرده است، چه در بخش خصوصی چه در سازمان دولتی و دستگاه اجرایی و باید پاسخگو باشد. حاصل این وضعیت این بوده است که امنیت به چشم اولویت دیده نمی‌شود و صنعت مهم افتا به درستی رشد نمی‌کند. متاسفانه حملات اینچنینی اتفاق می‌افتد بدون آنکه ما اصلاحی را در این وضعیت ببینیم.

برای جلوگیری از این اتفاقات، باید در درجه اول صنعت افتا به عنوان یکی از صنایع اولویت دار، پرکاربرد و دارای نقش اقتصادی بسیار مهم دیده شود. همچنین بخش خصوصی باید نقش اجرایی پررنگ‌تری داشته باشد. درعین حال باید روش‌ها و دستورکارهای فعلی را در سازمان‌های مختلف اصلاح کنیم و به امنیت در سمت بهره‌بردار هم علاوه بر مبادی ورودی تاکید کنیم. باید نظارت مستمر بر امنیت سازمان‌ها و مجموعه‌ها انجام شود و از تست نفوذهای دوره‌ای، باگ بانتی و آموزش افراد و موارد مشابه غافل نشویم.

یکی دیگر از موضوعاتی که با حاکمیت پیرامون آن گفت‌وگو کرده‌‌ایم، مبحث بیمه سایبری است که به زودی معرفی خواهد شد. امیدواریم بیمه سایبری هم به مصرف کنندگان و خدمت گیرندگان کمک کند و هم به سازمان‌ها و شرکت‌ها در جهت امن‌سازی موثر تر و بیمه‌پذیر کردن خدماتشان کمک کند.
 
در نمایشگاه الکامپ تفاهم‌نامه همکاری میان نصر تهران و انجمن صنفی افتا امضا شد. این همکاری چقدر در پیشبرد اهداف و برنامه‌ها موثر در زمینه امنیت اطلاعات موثر است و تا کنون چه اقداماتی در این زمینه انجام شده است؟

تفاهم‌نامه‌ای که بین سازمان نظام صنفی رایانه‌ای استان تهران و انجمن صنفی افتا منعقد شد نقطه عطفی در این زمینه بود. انجمن صنفی افتا نماینده تولیدکنندگان افتا است و باتوجه به تاکید کشور در بحث تولید، علاقه داریم بتوانیم در یک جبهه فعالیت کنیم. مبحث امنیت شامل تولیدکنندگان، واردکنندگان و ارائه‌دهندگان خدمات می‌شود و عملا هر سه در تامین امنیت نقش دارند. هدف هر دو تشکل این است که بتوانیم در جهت بهبود تولید قدم برداریم و درک و همکاری متقابلی هم میان سه حوزه بالا به وجود بیاید. با همکاری این دو تشکل این درک ایجاد خواهد شد و فرصت خوبی است تا بتوانیم راه را برای تولیدکنندگان هموارتر کرده و راه تولید صنعت افتا را با کمک هم تسهیل کنیم. باید به این مساله نیز اشاره شود که هرچقدر محصولات بومی‌با کیفیت‌تری داشته باشیم می‌توانیم به بهبود امنیت سایبری کشور کمک کنیم. هدف سازمان نصر تهران و انجمن صنفی افتا (سندیکا) تسهیلگری در راستای رسیدن به امنیت مطلوب ملی است.

باید مجددا تاکید کنم که راهی جز تقویت صنعت افتا برای ارتقای سطح امنیت کشور و دارایی‌های اطلاعاتی وجود نداشته و نقش بخش خصوصی و تشکل‌های بخش خصوصی در این صنعت انکار ناپذیر است.